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Beschreibung 

Die Ubermittlung digitalisierter Informationen uber Kommunikationsnetze erfordert oftmals die Gewahr- 
leistung der Geheimhaltung bzw. einen Beweis der Authentizitat der Nachricht. Die hierzu verwendeten Me- 
5 chanismen basieren im allgemeinen auf symmetrischen Verschlusselungsverfahren, bei denen Sender und 
Empfanger mit demselben Schlussel verschlusseln und entschlusseln. Aus Sicherheitsgrunden sollte jede 
Nachricht mit einem eigenen Schlussel versehen werden. Das wirft das Problem auf, Sender und Empfanger 
mit den entsprechenden Schlusseln zu versorgen. 

Aus Proceedings of the 1986 IEEE Symposium On Security And Privacy, 07. - 09. April 1986, Oakland, 
10 California, Seiten 138 bis 147 ergibt sich ein hierarchisches Sen I Gsselverwaltungs verfahren, bei dem die zu 
ubertragenden Informationen mit einem Sitzungsschlussel verschlusselt werden. Eine Sendeeinheit erzeugt 
diesen Sitzungsschlussel und ubertragt ihn verschlusselt mit einem auch der Empfangseinheit bekannten Aus- 
tauschschlussel. Die Empfangseinheit entschlusselt den Sitzungsschlussel und verschlusselt ihn mit einem 
dem Empfangsterminal bekannten Hauptschlussel und ubertragt den verschlusselten Sitzungsschlussel an 
15 das Empfangsterminal. Ein Nachteil dieses Verfah re ns bestehtdarin, daft eine Empfangseinheit mit einer Viel- 
zahl von Terminals verbunden sein kann und damit eine Vielzahl von Terminalschlussel speichern muft. 

Das der Erf indung zugrundeliegende Problem besteht darin, ein Verfahren anzugeben, bei dem mehrere 
verschiedene Schlussel zur Sicherstellung der Geheimhaltung bzw. zum Beweis der Authentif izierung ver- 
wendet werden und bei dem, obwohl mit einer Zentrale eine Vielzahl von Terminals bedient werden konnen, 
20 der Speicherbedarf fur die Schlusselverwaltung trotzdem nicht zu groft wird. 

Diese Aufgabe wird gemaft den Merkmalen des Patentanspruchs 1 gelost. 
Im folgenden wird die vorliegende Erfindung anhand mehrerer Figuren im einzelnen beschrieben. 
Fig. 1 zeigt in Form eines Blockschaltbildes einen sog. Sicherheitsmodul zur Durchfuhrung des erfin- 
dungsgemaften Verfahrens. 

25 Fig. 2 zeigt ein Blockschaltbild entsprechend demjenigen gemaft Fig. 1 , in das schematisch verschiedene 
Funktionsangaben S, S, T eingetragen sind. 
Fig. 3 zeigt ein Blockschaltbild entsprechend demjenigen gemaft Fig. 1, in das schematisch die Funktion 

eines sog. Austauschschlussels T j j eingetragen ist. 
Fig. 4 zeigt ein Blockschaltbild entsprechend demjenigen gemaft Fig. 1, das schematisch die Vorgange 
30 bei einer sog. Umverschlusselung eines Sitzungsschlussels verdeutlicht. 

Das erf indungsgemafte Verfahren unterscheidet zwischen sog. Sitzungsschlusseln, sog. Terminalschlus- 
seln und sog. Austauschschlusseln. Die Sitzungsschlussel dienen der Verschlusselung der wahrend einer Ver- 
bindung gesendeten Information. Sie werden hierzu von einer Zentrale erzeugt, an die beteiligten Terminals 
gesendet und nach Gebrauch geloscht. 
35 Zur Ubertragung der Sitzungsschlussel von der Zentrale zu den Terminals werden die Sitzungsschlussel 

unterden Terminalschlusseln der Empfangerterminals verschlusselt. 

Die Kommunikation zwischen zwei Zentralen wird durch einen Austauschschlussel verschlusselt. 
Die Terminals haben nur ihren eigenen Terminalschlussel in einem zugriffssicheren Sicherheitsmodul ab- 
gespeichert. Die Zentrale hingegen muft alle Terminalschlussel abspeichern. Dies erfordert einen hohen Spei- 
40 cherplatzbedarf: Bei beispielsweise 100 000 Terminals und Verschlusselung mit der sog. DES-Technik ergibt 
sich (der log-Term beziehtsich auf die Adreftinformation): 100 000 x 56 Bitx log 2 (100 000) Bit = 7,3 MBit. Das 
System gemaft der vorliegenden Erfindung umgeht dieses Problem dadurch, daft die Terminalschlussel on- 
line statt off-line erzeugt werden. 

Zur Notation ist folgendes auszuf uhren: 
45 Die Verschlusselung einer Nachricht m unter dem Schlussel S wird durch E(S;m) bezeichnet. Eine Einweg- 
funktion ist eine Abbildung, fur die es rechentechnisch unmoglich ist, das Urbild eines Funktionswerts zu er- 
mitteln. 



50 



Terminalschlussel aus Teilschlusseln 



Jedem Terminal wird eine Identifikation A e [0...N-1] zugeordnet, die als 

A = a 0 + a^b + a 2 b 2 + ... + a k _ ^b k ~ 1 
reprasentiert werden kann (fur eine beliebige naturliche Zahl b ^ 2). Hierdurch wird ein Adreftvektor 

(a 0 , a 1f a 2 a k _ ^) 

55 von Terminal A eindeutig bestimmt. Weiter sei 

Ko(0), Ko(1) K 0 (b-1) 

M0), M1) K^b-1) 
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K k _ rfO), Kk. !(1) K k . i(b- 1) 

ein Feld von bxk (geheimen) Teilschlusseln. Unter Benutzung der Adresse (a 0 , a 1f a 2 a k _ i) wird der Termi- 
nalschlussel T des betreffenden Terminals durch 

T: = f(K 0 (a 0 )eK 1 (a 1 )e...eK k _ ,(a k . ,)) 
5 berechnet (f bezeichnet eine Einwegfunktion und "@" die bitweise Addition). Die Einwegfunktion verhindert, 
daB T durch Losung von bxk linearen Gleichungen ermittelt werden kann. 

Die einzelnen Terminalschliissel werden bei den jeweiligen Terminals fest installiert. In der Zentrale mulJ 
nurdas Teilschlusselfeld gespeichert werden. Es bezeichne Ldie Lange eines Teilschlussels. Die Speicherung 
des Feldes benotigt einen Speicherplatz von 
10 bxkxL = bxlog b NxL ^ 3xlog 3 NxL 

Bits. 

Schlusselverwaltu ng 

15 Das System baut auf drei im Sicherheitsmodul der Zentrale installierten Funktionen auf. 

Sicherheitsmodul 

Das Sicherheitsmodul ist ein physikalisch geschutzter Bereich, in dem untergebracht sind: 
20 - Register fur Teil-, Sitzungs- und Austauschschlussel, 

- Ver- und Entschlusselungseinheiten, 

- ein Zufallsgenerator und 

- die Hardware-lmplementierung einer Einwegfunktion, vgl. Fig. 1. 

Sowohl der Zufallsgenerator als auch die Einwegfunktion werden durch die Verschlusselungsfunktion rea- 
25 lisiert. Imersten Fall wird zur Erzeugung einer Zufallszahl r die aktuelleZeitt als Eingabe genommen und unter 
einem festen geheimen Schlussel K verschlusselt: r: = E(K;t). Eine Einwegfunktion f(x) wird durch Verschlus- 
selung einer Konstanten (etwa 0) unter dem als Schlussel X interpretierten Argument xdefiniert: f(x): = E(X;0). 

Datenbusse fuhren als Ein- und Ausgabekanale nach aulien. 

30 Umverschlusselung eines Sitzungsschlussels unter einem Terminalschlussel 

Im Zufallszahlengenerator wird ein Sitzungsschlussel erzeugt, der im Register fur Sitzungsschlussel ab- 
gelegt wird. 

Wie zuvor unter "Terminalschlussel aus Teilschlusseln" beschrieben, wird der Terminalschlussel aus den 
35 jeweiligen Teilschlusseln mit Hilfe der Einwegfunktion f berechnet. Durch die Angabe des AdreBvektors als 
Identifikation kann der Zugriff des Mikroprogramms auf die einzelnen Teilschlussel in eff izienter Weise ge- 
steuert werden. 

In der Verschlusselungseinheit wird E(T;S) berechnet, vgl. Fig. 2. 
40 Umverschlusselung eines Sitzungsschlussels unter Austauschschlussel 

Der vertrauliche Datenfluli zwischen zwei Zentralen i und j wird durch Austauschschlussel T j i verschlus- 
selt. Diese Schlussel sind wie Terminalschlussel permanent installiert. 

Als Beispiel sei angenommen, daB ein von der Zentrale i versorgtes Terminal mit einem von der Zentrale 
45 j versorgten Terminal kommunizieren will. Die Zentrale i erzeugt den erforderlichen Sitzungsschlussel S und 
verschlusselt ihn unter dem Austauschschlussel T'J, vgl. Fig. 3. 

Umverschlusselung eines Sitzungsschlussels 

50 Die Zentrale j erhalt von der Zentrale i den verschlusselten Sitzungsschlussel E(T j j;S). Zur Aussendung 

an das Empfangerterminal wird S unter dessen Terminalschlussel umverschlusselt. Hierzu wird zunachst 
ECRS) entschlusselt und S in das Register der Sitzungsschlussel geladen. Der Terminalschlussel T wird wie 
beschrieben erzeugt und S unter T verschlusselt, vgl. Fig. 4. 

55 Terminalverschlusselung 

Die Terminals besitzen ihre Terminalschlussel nur in geschlossener Form. Sie sind nur in der Lage, die 
Ver- und Entschlusselungsf unktion unter einem Sitzungsschlussel oder ihrem Terminalschlussel auszuf uhren. 
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Fig. 5 stellt exemplarisch die Kommunikationsverschlusselung dar. 



Patentanspruche 

5 

1. Verfahren zur hierarchischen Schlusselverwaltung im Rahmen der Ubermittlung oigitalisierter Informa- 
tionen, 

- bei dem die Informationen zwischen am Netz angeschlossenen Sende- Empfangszentralen uber- 
tragen werden, die jeweils mit Terminals verbunden sind, 

10 - bei dem zur Verse hi usse lung derwahrend eines Ubertragungsvorganges gesendeten Information 

ein von der Sende- Zentrale erzeugter Sitzungsschlussel verwendet wird, 

- bei dem der Sitzungsschlussel mit einem bei den Zentralen vorhandenen Austauschschlussel ver- 
schlusselt wird und der verschlusselte Sitzungsschlussel zur Empfangszentrale ubersendet wird, 

- bei dem die Empfangszentrale den verschlusselten Sitzungsschlussel entschlusselt, 

15 - bei dem die Empfangszentrale den Sitzungsschlussel mit einem im empfancenden Terminal vorhan- 

denen Terminalschlussel verschlusselt und den verschlusselten Terminalschlussel an das empfan- 
gene Terminal sendet, 

- bei dem der einem Terminal zugeordnete Terminalschlussel in der Zentrale mit Hilfe einer Einweg- 
funktion aus einem dem Terminal zugeordneten Adressenvektor und in der Zentrale gespeicherten 

20 Teilschlusseln erzeugt wird. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dalidie Terminals jeweils nur ihren eigenen Terminalschlussel in einem sog. zugriffssicheren Sicherheits- 
25 modul abgespeichert enthalten. 



Claims 

30 1. Method for hierarchical key management within the framework of the transmission of digitized information, 

- in which the information is transmitted between transmitting and receiving to the network and, con- 
trol centres which are connected in each case, to terminals 

- in which a session key generated by the transmitting control centre is used to encode the information 
transmitted during a transmission operation, 

35 - in which the session key is encoded by means of an exchange key present in the control centres 

and the encoded session key is transmitted to the receiving control centre, 

- in which the receiving control centre decodes the encoded session key, 

- in which the receiving control centre encodes the session key by means of a terminal key present 
in the receiving terminal and transmits the encoded terminal key to the receiving terminal, and 

40 - in which the terminal key, assigned to a terminal, in the control centre is generated with the aid of a 

one-way function from an address vector assigned to the terminal and from subkeys stored in the 
control centre. 

2. Method according to Claim 1 , characterized in that the terminals each contain only their own terminal key 
45 stored in a so-called access-secure security module. 



Revendications 

so 1. Procede de gestion hierarchique de cles dans la transmission d' informations numerisees, 

- selon lequel on transmet les informations entre des centraux d'emission-reception raccordes au re- 
seau et relies chacun a des terminaux, 

- selon lequel, pour le chiffrement de I'information emise pendant un processus de transmission, on 
utilise une cle de session produite par le central d'emission, 

55 - selon lequel on chiffre la cle de session par une cle de permutation presente dans les centraux et 

on retransmet le code de session chiffre au central de reception, 

- selon lequel le central de reception dechiffre la cle de session chiffree, 

- selon lequel le central de reception chiffre la cle de session par une cle de terminal presente dans 
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le terminal de reception et envoie la cle chiffree du terminal au terminal de reception, et 
- selon lequel on produit la cle de terminal, associee a un terminal, dans le central a I'aide d'une fonc- 
tion unidirectionnelle a partir d'un vecteur d'adresse associe au terminal et de cles partielles memo- 
risees dans le central. 

Procede suivant la revendication 1, caracterise par le fait que les terminaux ne contiennent chacun que 
leur cle propre a I'etat memorise dans un module de securite dit a acces sur. 
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FIG 3 
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FIG 5 
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